常见批评 UDP永远不会通 内核处理UDP很慢 QUIC太吃CPU 只有Google在弄 进步太小 常见批评 UDP永远不会通 很多企业、运营商和组织对53端口（DNS）以外的UDP流量进行拦截或者限流，因为这些流量近来常被滥用于攻击。特别是一些现有的UDP协议和实现易受放大攻击（amplification attack）威胁，攻击者可...

前者的话： 从第三季开始引入段子，让本枯燥的学术文章，也变得生动有趣。 第二季的Demo遵循人性五条来设计，回忆这其中五条： 1：攻击方与防御方的本质是什么？ 增加对方的时间成本，人力成本，资源成本（不限制于服务器资源），金钱成本。 2：安全公司的本质是什么？ 盈利，最小投入，最大产出。 3：安全公司产品的本质是什么？ 能适应大部分客户，适...

关于 Node.js 技术栈 初衷 官方网址 官方交流群 作者简介 关于 Node.js 技术栈 你若要喜爱你自己的价值，你就得给世界创造价值。——歌德 Node.js 技术栈 是由作者 “五月君” 于 2019 年 4 月梳理之后最早开源于 Github ，同时注册了微信公众号「Nodejs技术栈」。本文档包含了作者从事 No...

第八章 ARM 利用 8.1 ARM 架构导论 执行模式 8.2 建立环境 8.3 基于栈的简单缓冲区溢出 8.4 返回导向编程 8.5 Android root 利用 总结 第八章 ARM 利用 作者：Aditya Gupta 译者：飞龙 协议：CC BY-NC-SA 4.0 在本章中，我们将了解 ARM 处理器的基础知...

跨站请求伪造保护 工作方式 限制 实用程序 配置 常问问题 可以提交任意的 CSRF 令牌对（cookie 和 POST 数据）是漏洞吗？ Django 的 CSRF 保护默认不与会话关联，是不是有问题？ 为什么用户登录后会遇到 CSRF 验证失败？ 跨站请求伪造保护 CSRF 中间件和模板标签提供了针对 跨站请求伪造 (Cross S...

引言（1）： 引言（2）： 引言（4）： 后者的话： APT两大类攻击核心诉求区别： 引言（5）： 总结： 引言（1）： 目标资产信息搜集的广度，决定渗透过程的复杂程度。目标主机信息搜集的深度，决定后渗透权限持续把控。渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。持续渗透的本质是线索关联，而线索关联为后续的攻击链方...

避免崩溃日志 详细描述 建议 CWE/OWASP 避免崩溃日志 详细描述 有很多用于跟踪用户使用情况并收集iOS和Android的崩溃日志的framework，这些framework都是开发的有用工具，但重要的是要在开发人员的足够调试信息和攻击者的信息减少之间找到平衡。 如果应用程序崩溃，生成的日志可以为攻击者提供有价值的信息。 建...

主要设计 智能合约相关设计 运行环境 开发语言 交易模型 共识 降低攻击 提高扩展性 主要设计 以太坊项目的基本设计与比特币网络类似。为了支持更复杂的智能合约，以太坊在不少地方进行了改进，包括交易模型、共识、对攻击的防护和可扩展性等。 智能合约相关设计 运行环境 以太坊采用以太坊虚拟机作为智能合约的运行环境。以太坊虚拟机是一个...

主要设计 智能合约相关设计 运行环境 开发语言 交易模型 共识 降低攻击 提高扩展性 主要设计 以太坊项目的基本设计与比特币网络类似。为了支持更复杂的智能合约，以太坊在不少地方进行了改进，包括交易模型、共识、对攻击的防护和可扩展性等。 智能合约相关设计 运行环境 以太坊采用以太坊虚拟机作为智能合约的运行环境。以太坊虚拟机是一个隔离的...

WasmEdge 特有的集成 WasmEdge 特有的集成